[JDLL 2016] OpenID Connect et FranceConnect
4 j'aime•3,124 vues
Le document présente FranceConnect, un service d'authentification qui utilise le protocole OpenID Connect pour transmettre des identités pivot aux services publics. Il détaille également l'utilisation du logiciel libre LemonLDAP::NG pour intégrer FranceConnect comme fournisseur d'identité. Des exemples de requêtes d'autorisation et de ressources utilisant OpenID Connect sont fournis.
![[JDLL 2016] OpenID Connect et FranceConnect](https://image.slidesharecdn.com/jdll2016openidconnectfranceconnect-160403120606/85/JDLL-2016-OpenID-Connect-et-FranceConnect-1-320.jpg)
![31
{
"acr": "loa-2",
"auth_time": 1432113593,
"iat": 1432113966,
"at_hash": "9axzsNi9pNDk5zWefKsM6A",
"iss": "http://auth.example.com/",
"exp": "3600",
"azp": "lemonldap",
"nonce": "1234567890",
"sub": "clement@oudot.me",
"aud": [
"lemonldap"
]
}
ID Token payload](https://image.slidesharecdn.com/jdll2016openidconnectfranceconnect-160403120606/85/JDLL-2016-OpenID-Connect-et-FranceConnect-31-320.jpg)
[JDLL 2016] OpenID Connect et FranceConnect
- 2. 2 Clément OUDOT @clementoudot http://sflx.ca/coudot ● Créé en 1999 ● >100 personnes ● Montréal, Quebec City, Ottawa, Paris ● ISO 9001:2004 / ISO 14001:2008 ● [email protected]
- 3. 3 Sommaire 1.France Connect, à quoi ça sert ? 2.Le protocole OpenID Connect 3.Utilisation avec le logiciel libre LemonLDAP::NG
- 4. 4 À quoi ça sert ?
- 5. 5 Un service d'authentification ● FranceConnect ne fournit pas directement l'authentification, mais s'appuie sur des fournisseurs d'identités agréés, comme le service des impôts ● Après authentification, une « identité pivot » est transmise au service final (site d'une mairie, service public, etc.) ● Les échanges sont réalisés à l'aide du protocole OpenID Connect
- 6. 6
- 7. 7 Consulter les points de son permis
- 9. 9 Identité pivot (particulier) Champs Type Description given_name string prénoms séparés par des espaces (standard OpenIDConnect) family_name string le nom de famille de naissance (standard OpenIDConnect) birthdate string la date de naissance au format YYYY-MM-DD (standard OpenIDConnect) gender string male pour les hommes, female pour les femmes (standard OpenIDConnect) birthplace string le code INSEE du lieu de naissance (ou une chaîne vide si la personne est née à l'étranger) birthcountry string le code INSEE du pays de naissance
- 10. 10 Identité pivot (entreprise) Champs Type Description given_name string prénoms séparés par des espaces (standard OpenIDConnect) family_name string le nom de famille (standard OpenIDConnect) email string l'adresse mail de la personne siret string le numéro SIRET ou SIREN de l'entreprise (non standard)
- 11. 11 Le protocole
- 12. 12
- 14. 14 Authorization Request Authorization Grant Authorization Grant Access Token Access Token Protected Resource
- 16. 16 Token POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form- urlencoded grant_type=authorization_code&code=SplxlOBe ZQQYbYS6WxSbIA&redirect_uri=https%3A%2F %2Fclient%2Eexample%2Ecom%2Fcb
- 17. 17 Token HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
- 18. 18 Resource GET /resource/1 HTTP/1.1 Host: example.com Authorization: Bearer 2YotnFZFEjr1zCsicMWpAA
- 19. 19
- 20. 20 OpenID 1.0 OpenID 2.0 OpenID Connect
- 21. 21 RPRP OPOP (1) AuthN Request (2) AuthN & AuthZ (3) AuthN Response (4) UserInfo Request (5) UserInfo Response
- 22. 22 OpenID Connect Protocol Suite Core Discovery Dynamic Client Registration Session Management Form Post Response Mode Minimal Dynamic Complete
- 23. 23 Underpinnings OAuth 2.0 Core OAuth 2.0 Bearer OAuth 2.0 Assertions OAuth 2.0 JWT Profile OAuth 2.0 Responses JWT JWS JWE JWK JWA WebFinger JOSE
- 26. 26
- 27. 27
- 29. 29 RPRP OPOP POST /oauth2/token HTTP/1.1 Host: auth.example.com Authorization: Basic xxxx Content-Type: application/x-www-form-urlencoded grant_type=authorization_code &code=f6267efe92d0fc39bf2761c29de44286 &redirect_uri=https%3A%2F%2Fblue-sea-697d.quartiers047.workers.dev%3A443%2Fhttp%2Fauth.example.com %2Foauth2.pl%3Fopenidconnectcallback%3D1
- 30. 30 RPRP OPOP {"id_token" :"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ 9.eyJhY3IiOiJsb2EtMiIsImF1dGhfdGltZSI6MTQzMjEx MzU5MywiaWF0IjoxNDMyMTEzOTY2LCJhdF9oYXNo IjoiOWF4enNOaTlwTkRrNXpXZWZLc002QSIsImlzcy I6Imh0dHA6Ly9hdXRoLmV4YW1wbGUuY29tLyIsIm V4cCI6IjM2MDAiLCJhenAiOiJsZW1vbmxkYXAiLCJub 25jZSI6IjEyMzQ1Njc4OTAiLCJzdWIiOiJjb3Vkb3RAbG luYWdvcmEuY29tIiwiYXVkIjpbImxlbW9ubGRhcCJdf Q==.daYGlzIr37dC1R0biIwdvQLM1LlCMsBFFcEufe MZtXsZvCiiAm-1LFJwJJJDHFOhd- WQnc9_GvtP3gTabXB8U4gQ2IW- bPNLUsjT24njmBPYunHy8YTQ5PV- QnQI5EK5WrrTS04AF86U5Qu6m3b27yWKFXkIuGI7 EUvvByv8L1Anh1gPG3il5cEOnMFHIUzAaC6PkJiy1sj SBM53nLRAf9NQ6eux4iCVBIRwl26CCgmRTsTRy- iTxB3bf0LrILohUlAR_- HPWGseaIAMvqUpGeaovgGDPt4Zip9KERo7368ykg Qc09VFlLvZIwyMTWQdVBIYdW0oY6eI9ZHjofn0mg" , "expires_in" : "3600","access_token" : "512cdb7b97e073d0656ac9684cc715fe", "token_type" : "Bearer"}
- 31. 31 { "acr": "loa-2", "auth_time": 1432113593, "iat": 1432113966, "at_hash": "9axzsNi9pNDk5zWefKsM6A", "iss": "http://auth.example.com/", "exp": "3600", "azp": "lemonldap", "nonce": "1234567890", "sub": "[email protected]", "aud": [ "lemonldap" ] } ID Token payload
- 32. 32 RPRP OPOP POST /oauth2/userinfo HTTP/1.1 Host: auth.example.com Authorization: Bearer 512cdb7b97e073d0656ac9684cc715fe Content-Type: application/x-www-form-urlencoded
- 33. 33 RPRP OPOP { "name": "Clément OUDOT", "email": "[email protected]", "sub": "[email protected]" }
- 34. 34 Utilisation avec le logiciel libre
- 35. 35 LemonLDAP::NG ● Logiciel libre (GPLv2+) / OW2 consortium ● Authentification unique (SSO), contrôle d'accès ● Fournisseur de Service / Fournisseur d'Identité ● Perl/Apache/CGI/FCGI ● Réinitialisation de mot de passe et création de compte ● http://www.lemonldap-ng.org
- 36. 36
- 37. 37 Lien LL::NG / FranceConnect ● LemonLDAP::NG peut être configuré comme SP OpenID Connect ● France Connect peut être déclaré comme IDP OpenID Connect ● Procédure détaillée : http://lemonldap-ng.org/documentation/latest/authopen idconnect_franceconnect ● Démonstration : https://auth.openid.club/
- 38. 38 Des questions ? On dirait qu'ils ont tout compris